theNet by CLOUDFLARE

Cómo aprendí a dejar de preocuparme y aceptar la conformidad

En el mundo actual, la conformidad es esencial. La capacidad de garantizar la confianza y fortalecer la reputación de una empresa es un requisito innegociable y está indisolublemente ligado a las normas de ciberseguridad. Sin embargo, la elaboración y la consolidación de programas de conformidad, en probablemente todas nuestras experiencias, no es nada fácil. Como responsables de seguridad, tenemos que saber cómo adherirnos a un conjunto cada vez mayor de reglamentos, legislaciones y normas, la mayoría de los cuales parecen incongruentes. Esta complejidad hace que el hecho de lograr, cumplir y ofrecer conformidad parezca un problema.

En Cloudflare, dedicamos importantes recursos a comprender los requisitos de conformidad, implementar los procesos y controles de seguridad adecuados, supervisar los cambios en nuestro entorno y realizar evaluaciones que demuestren nuestra conformidad con la legislación. En un momento anterior de mi carrera, me habría parecido una obligación. Sin embargo, tras 20 años trabajando en ciberseguridad, por fin he dejado de preocuparme y he aprendido a valorar la conformidad por lo que nos permite conseguir como comunidad, no por lo que nos quita.

Fuente de la imagen: Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb

Cómo integrar la conformidad en un enfoque de la seguridad basado en los resultados

La tradicional incapacidad para comprender la magnitud de las amenazas a la ciberseguridad ha conducido a un mundo que ha normalizado la dependencia de tecnologías fundamentalmente poco seguras. Durante demasiado tiempo, la velocidad y los costes han prevalecido sobre los valores de la seguridad y la privacidad. Este enfoque ha sido un fracaso tanto de la política, como de la gestión y la capacidad y, sobre todo, un fracaso de la imaginación.

En el Departamento de Defensa y en la Agencia de Seguridad Nacional, nos centramos mucho en la "misión", que para muchos es un enfoque basado en los resultados para resolver problemas críticos. Este planteamiento implica erróneamente una omisión de la conformidad en favor de una amenaza en toda regla. En mi experiencia, nunca fue así. Los resultados y la conformidad eran siempre vías paralelas que conducían a la reducción del riesgo operativo, así como a una mayor reflexión y creatividad.

Los responsables de ciberseguridad tenemos la responsabilidad de alinear la política y la estrategia como punto de partida fundamental para mejorar la seguridad, generar confianza y forjar nuevas relaciones. Si adoptamos este enfoque, podremos aplicar soluciones orientadas a la misión de solucionar los problemas asociados a la protección de los datos de los usuarios y la propiedad intelectual, la prevención de robos financieros y, en algunos casos, daños materiales.

Cómo promover la conformidad para reforzar la seguridad

Es difícil generar confianza y fácil perderla. Sin duda, el incumplimiento de la normativa puede suponer sanciones, pero también pérdida de confianza en clientes y socios.

We all know that compliance requirements often create box-checking exercises instead of operational risk reduction. For this reason, I see the practice of cyber security within highly regulated—and highly targeted—fields such as healthcare, financial services, and national security as a strong blueprint for all of us. In these fields, organizations do more than checking boxes: they voluntarily hold themselves to even higher standards than regulations require.

Our security work begins when we meet standards. As a tool, compliance allows us to express our work, look around and see who we can trust, and begin to tackle the hard work of eliminating threats. We often hear that a SOC report or ISO certification should stop breaches, but breaches still happen. Why? The answer is that compliance with frameworks and standards is just a way for us to recognize when something is amiss sooner. It'll never be a way for companies or teams to prevent incidents and exposure. That requires an even more comprehensive approach to cyber security, one based in technical controls.

En Cloudflare, cumplimos regulaciones y normas clave, y hemos conseguido varias certificaciones importantes. Cumplimos las normas por las oportunidades que pueden crear, pero esto no es todo. Seguimos centrados en nuestra misión de mejorar Internet para aumentar la seguridad. No solo estamos abordando el cumplimiento, sino implementando funciones de seguridad avanzadas que protegerán nuestro negocio, y a nuestros socios y clientes. Cloudflare se fundó para ayudaros a ti y a tus clientes a estar más seguros en Internet. Infórmate acerca de las certificaciones que nos ayudan a garantizar esa seguridad.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Autor

Oren Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare



CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Cómo considerar la conformidad como un mecanismo de ayuda y no como un problema

  • Los marcos y las normas nunca eliminarán los incidentes ni la exposición

  • La implementación de una seguridad avanzada más allá de la conformidad básica protegerá la empresa, a los socios y a los clientes


Otros artículos de esta serie

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?